Remise à 0 de iptables automatique?

[Recif]

Bonjour,

Régulièrement mes tables d'iptables sont entièrement vidées, automatiquement... Y a t-il un process qui peut provoquer ça?!

Merci

 

[salva]

Il me semble que le service (couplé à Fail2ban), par défaut, redémarre tous les 7 jours. D'ou les tables vides.

 

[Recif]

Ah mince! Comment eviter qu'elles soient vidées?

 

[salva]

Tu utilises fail2ban avec iptables ?

 

[Recif]

Non...

 

[salva]

D'après le whois tu es sous débian, jette un oeil à cette page.

 

[Recif]

Euh... Merci mais c'est pas tout à fait clair...
Il faut que je fasse quoi exactement?

 

[salva]

Il faut que tu sauvegardes tes règles. Plus clair ici.

 

[Recif]

Oui, je sais comment sauvegarder la conf et la restaurer. Mais j'aimerai qu'elle ne disparaisse pas...

 

[salva]

Je ne suis pas certain de te suivre.
Quand tu écris : "Régulièrement mes tables d'iptables sont entièrement vidées, automatiquement", vidées de quoi, des IPs bannies ?

 

[Recif]

Oui, quand je fais un iptables -L tout est vierge, plus aucune ip n'apparait. Alors je refais un restaure puis un iptables -L et là je les vois à nouveau...

 

[salva]

A part un script, je ne vois pas.

Utilisé avec Fail2ban sur mon serveur, c'est la rotation des log qui remonte l'interface réseau et vide mes tables.

Tu dois identifié ce qui remonte l'interface réseau et lancer le script juste après.

Ps : avec Fail2ban ou Netfilter, les scripts foisonnent.
Ps2 : quel est l'intérêt de restaurer les IPs bannies ?

 

[Recif]

Ben l'interêt c'est d'avoir à nouveau les ips dans iptables Sinon ça sert à rien que je les banissent...
Pour le script aucune idée... Comment savoir lequel?... Perso j'en ai mis aucun en place, donc c'est forcément un script système...

 

[salva]

Ben si elles ont été bannies une fois, elles le seront encore les fois suivantes

Un serveur spammé ou hacké, l'est dans la grande majorité des cas, temporairement.

Jette un oeil à la rotation des logs (connais pas Débian).

 

[Recif]

Ben non elle ne sera plus bannie si la table est vidée et c'est justement là le problème... Car c'est bien ce qu'il se passe. Et c'est bien pour ça que je dois restaurer un backup à chaque fois.
Qu'est ce que je dois regarder dans la rotation des logs exactement?

 

[salva]

Tu dois bien avoir des logs iptables, message systèmes divers,...
Repère ( l'heure ) à quel moment de la journée (ou de la semaine) les tables se vident. Si ça se produit à heure fixe, un petit cron qui restaure les tables.

PS : chez moi, les IPs bannies se vident mais les règles restent intactes au reboot. Adopte Fail2ban